Team Semperis

La divulgazione dell'attacco alla catena di fornitura contro SolarWinds alla fine del 2020 ha rappresentato un campanello d'allarme per le agenzie federali responsabili della sicurezza delle risorse informative statunitensi e per il settore della sicurezza. Man mano che vengono alla luce ulteriori dettagli sull'attacco, una delle rivelazioni più significative è che gli aggressori hanno utilizzato metodi collaudati per ottenere l'accesso iniziale: attraverso Active Directory (AD) in sede.

Come ha scritto Sean Deuby, direttore dei servizi di Semperis, in un recente articolo di InfoSecurity Magazine, se un aggressore riesce a eludere i controlli di autenticazione e a ottenere l'accesso come amministratore all'AD, allora l'attore delle minacce può ottenere una visibilità totale sull'ambiente AD, sia on-premises che nel cloud. Dato che le minacce sponsorizzate dallo Stato continuano ad aumentare, il monitoraggio continuo di AD alla ricerca di attività sospette è un componente chiave per prevenire, rilevare e bloccare le attività dannose.

L'attacco di SolarWinds segnala che le risorse di identità on-premises saranno sempre più utilizzate come punto di accesso agli ambienti cloud. Tuttavia, le buone pratiche di sicurezza possono aiutare a mitigare anche gli attacchi più complessi. Deuby segnala risorse recenti, tra cui un post sul blog di Microsoft che fornisce le linee guida per la protezione di Azure AD e le indicazioni aggiornate della CISA.

L'utilizzo di un approccio stratificato alla protezione di AD, che includa il monitoraggio continuo degli indicatori di esposizione che potrebbero compromettere AD, aiuterà le organizzazioni a proteggere le proprie risorse informative. Sebbene i cyberattacchi stiano diventando sempre più sofisticati, la protezione di Active Directory è un passo fondamentale nel piano di difesa contro i cyberattacchi di un'organizzazione.